Для одного из моей бизнес-процесса, который я хочу, чтобы создать IAM пользователя для многократного приложения для доступа к этому ресурсу, я думал о следующих вариантах:РМКО пользователя для каждого приложения
- Создать 1 IAM пользователя и использовать учетные данные во всех приложениях в бизнесе
- Создание индивидуального IAM пользователя для каждого приложения и использовать соответствующие полномочия
Я прошел через https://aws.amazon.com/iam/faqs/ и упоминает, что пользователь IAM может быть приложением или системой.
Я понимаю, что 1 имеет преимущество в том, что он упрощает процесс с помощью только одного пользователя IAM для управления.
Но 2 делает приложения независимыми друг от друга и обеспечивает мелкомасштабный контроль над учетными данными.
Какова наилучшая практика в создании IAM в данном случае и почему?
Пойдите с 2, а также используйте политики, прикрепленные к пользователям/ролям, поэтому приложения, имеющие доступ к тем же ресурсам, могут иметь одну и ту же политику (DRY: не повторяйте себя). Если ваши приложения запускаются на EC2, используйте роли вместо пользователей, старайтесь не хранить учетные данные в своих приложениях, когда это возможно. – at0mzk
спасибо at0mzk, у меня будет хранилище учетных данных, поэтому я не буду хранить их в экземплярах EC2 и создам группы и политики для разрешений ресурсов. Я ищу точки данных для использования 2, так как следующий принцип KISS будет означать переход с 1 –